分享

上市之后，大家都松了口气，晚上和周末加班的人越来越少，停车场上的豪车也越来越多。不过出于惯性，加上911后外面的机会很少，我们就继续这么呆着，错过了中国经济起飞的最好时代。

邓锋还是很有追求的。他应该早就看出一些问题：上市后，为了维持股价，满足贪婪的华尔街对利润的追求，Robert他们减少了在研发上的投入，邓锋也无能为力。不久，我们发现这个老兄居然拿起一本GMAT的书，在办公室里做题。他倒也不避讳，直言准备读MBA，后来被最有名的宾州大学的Wharton School录取。

他也在主动寻找替代自己的人。Frank Marshall向他推荐了Cisco的一个VP，Anson Chen。Anson是台湾人，在Cisco算是中国人级别最高的一个。他来后，首先邀请我们品尝了一圈雪茄，然后推荐大家去买名表，整个一个富家公子气。接下来是搞新操作系统。当时Cisco推出高端产品时，拿出了一个基于QNX的新IOX操作系统。我们也跃跃欲试，陈怀临也是当时的QNX鼓吹者之一。

不过新的操作系统还没整出来，04年公司就被Juniper以四十亿美金的高价收购了，整个项目无疾而终。那时邓锋已经转任首席战略官，这项并购应该就是他操的盘吧。

并购之后，Robert, Mark Smith, David Flynn ,邓锋，柯严相继退出了，我赶上了一个机会，为Juniper在中国创办研发中心，从此开始了海归的生涯。

—————- 完 —————-

分享

分享

曙光计划[中文译本]

译者小序

本文是网上流传的《曙光网络》计划的中文翻译版本,译者是安天安全研究 与应急处理中心(Antiy CERT )的三位女性工程师。

我们看到此文时,便能感到其堪称同类文献的精品,我们希望从事恶意代码 分析、安全事件响应的同事们都能读到这样一份文档,从资料组织、互联网信息 检索、信息聚合、综合分析、图和表格的使用等很多技巧,以及综合全面的视野、 富有逻辑的推导等方面,都有很多的借鉴意义。

但我们有部分同事很少阅读外文文献,为此我们于是萌发了翻译的冲动。而我们特别认为,对很多长期只关注底层技术和分析方法,而忽略文档能力和系统 思维的同事来说,本文是一个很好的学习案例。

当然由于历史和文化的差异,对文中作为背景的事件的政治立场,可能仁者见仁、智者见智。但这些都不影响作为一份高质量的技术建议计划文献的学习价 值。

本文篇幅较长,翻译用时 30 多个小时,时间较为仓促。水平非常有限,可能有大量错误。希望大家理解。

感谢产品与项目管理中心-文档组的同事们提供中文版排版。为了便于对照 阅读,他们将翻译文档基本排版成了与原文风格完全一致的风格。

Antiy CERT Sunny、 Dirace、RorW 2011 年 6 月 17 日

分享

分享

2002年我开始构思下一代高端平台。NS-5400和Saturn毕竟有许多先天的不足。这段时间公司并购了一家做IPS的公司，叫OneSecure。 OneSecure的创始人是Nir Zuk， 一个以色列人，之前在Checkpoint干过。我就在考虑如何能够在一个系统里同时支持Firewall和IPS，甚至包括和Trend Micro合作的病毒防护功能。把别人的软件融合到ScreenOS里是不现实的，软件升级很麻烦，bug又多，还把整体性能给拖下来了。

因此我设想规划四个内部处理模块，除了防火墙主控CPU外，还可以支持另外三个CPU板，板间通过Xilinx FPGA的Rocket I/O串行总线相连，拿ASIC和一颗大FPGA组成交换总线板，前面板还有固定端口和4个接口扩展槽 。有了三个CPU板，类似IPS和AV的处理功能就可以跑在各自独立的操作系统上了。事后证明，这是一个非常优越和超前的设计。后来Netscreen的IPS主要通过这个平台销售，始料未及的是，客户大多买的是独立的IPS系统，因为通过三块双CPU卡加速的IPS性能已经可以与一些专业硬件加速的平台相竞争。

我给这个项目取了一个代码名，叫Tasmania。 原因是公司每年都有President Club，拉业绩优异的销售去风景优美的地方有吃有玩，让我们一帮工程师十分眼热。他们也请工程师，不过只请支持过项目的工程师，而且每年就一个名额，那就只有测试组的人才有资格参加。那一年，他们去的是澳大利亚的Tasmania岛，我留了这个私心，希望产品大卖的时候那帮销售能够想起我来，不过到我离开，这个心愿也没有实现。

这个设计构想没有异议地得到了大家的支持。不过后来Raymond找到邓锋，担心Rocket I/O技术太新，会有风险。在他俩的坚持下，第一版还是用传统的FIFO bus作为主数据通道，但是我还是要求FPGA一定要支持Rocket I/O，可以不用但是生产时要可以测试。多年后，我离开了Juniper，老兄弟聚会的时候，有人还提起幸好当年留下了Rocket I/O，解决了板间互联的性能问题，这个平台才能支撑那么久。屈指一算，ISG-2000在市场上活跃了八年，可谓长寿矣。

这次做ISG-2000，软件方面又是老搭档老黄来负责。其实当时整个软件部门也在讨论大的改变。创业时柯严写的ScreenOS操作系统，修修补补多年，已经不敷使用。首先要解决的是内存保护的问题，不然一个飞指针就能把系统搞死，太可怕了，尤其是代码量越来越大，新手不断进入，这个问题非解决不可。

2000年底，陈怀临加入Netscreen。陈怀临就是现在大名鼎鼎弯曲评论的创始人，他在这个项目上的工作首先就是给ScreenOS加上内存保护，基本上是改变直接寻址的模式，转而用虚地址和MMU映射，一旦发生内存overwrite，CPU会启动Exception，这样就可以定位问题了。

ISG-2000用的是PowerPC G4，而且麻烦的是，为了追求性能，我设计了两片处理器，跑在一个LVTTL并行总线上。从电路设计上，这是我遇到最难的一个，原因是信号的终结termination非常麻烦，因为是T形总线。后来的串行技术，就算速率再高，比起这个几乎就没有太大技术含量了。

当时我还年轻，火气也比较大，遇事不服输，系统不稳定，陈怀临怀疑是硬件问题，我就和他争辩。他吵不过，干脆要port一个Linux来验证。邓锋是学并行计算出身的，他推荐我读了一本处理器原理的权威著作，最后我也弄明白了Cache, MMU的工作原理，因此能够读懂Exception寄存器的含义了，算是一大收获。

这个项目上我基本上只负责架构，我们硬件组的Edward, Scott Chastain和机构工程师Eugene负责具体的设计。技术的挑战最终提升了整个团队的个人和团队协同作战能力，这是第二个收获。

几经周折，这个系统终于发布了，而且大获成功。

—————————- 版权所有Hillstone 老童 欢迎转载  —————————-

分享

分享

《连线》独家报道：病毒攻击美国无人飞机机群
Noah Shachtman
2011.10.07

原文：http://www.wired.com/dangerroom/2011/10/virus-hits-drone-fleet/
翻译：Claud Xiao

一种计算机病毒已经感染了美国的捕食者型和收割者型无人飞机的“驾驶舱”，记录下它们在阿富汗和其他战区执行飞行任务期间“飞行员”的所有键盘操作。
两周前，美军的HBSS（基于主机的安全系统）首次检测到该病毒。但它并没有阻碍位于内华达州Creech空军基地的飞行员执行跨洋飞行任务。目前也没有关于机密被窃或被公开的确切消息。然而，据安全专家称，该病毒采取了多种手段来对抗查杀，它给无人飞机这一美军最重要的武器系统带来了持续性的威胁。
一个熟悉网络攻击技术的知情人士称：“我们不断清除它，它又不断出现。我们以为它是无害的，但到底是怎么样的我们也不知道。”他是向我们杂志“危险斗室”专栏透露关于这一病毒情况的三个人之一。
军事网络安全专家无法确定这一病毒及其载荷的键盘记录器是有针对性的还是偶然出现的。它有可能只是一个普通的恶意代码，恰好通过某种途径进入了这些敏感的网络。专家们也无法确定该病毒传播了多广。但他们能确定，该病毒感染了Creech基地的涉密计算机和非涉密计算机。这至少增加了这样的可能，即机密数据可能被键盘记录器捕获，然后通过公共互联网被传输给军事指挥系统之外的人。
无人飞机是目前美国为常规战争和隐蔽战争特别制造的一种工具。美国空军通过它打击目标或侦查敌人，而不需承担本国人生命的风险。奥巴马总统就任以来，由中央情报局领导的约30架的一个无人飞机机群在巴基斯坦进行了超过230次目标打击。根据《华盛顿邮报》的报道，它们总共杀害了超过2000名可疑武装人员和平民。此外，由美国空军控制超过150架的捕食者型和收割者型无人飞机参与了在阿富汗和伊拉克的战斗。在四月中旬和八月底，美国军事无人飞机在利比亚出动了92次。上月末，在针对非洲之角和南阿拉伯半岛的一系列无人空中袭击中，一架美国无人飞机杀死了恐怖分子领袖安瓦尔•奥拉基。
除了被广泛使用，无人飞机系统还因存在安全漏洞而出名。很多捕食者型和收割者型无人飞机并不对传回美军地面部队的图像数据进行加密。2009年夏天，美国空军在伊拉克武装人员的笔记本电脑中发现了“很多天和很多小时”的无人飞机拍摄画面。一个售价26美元的软件让武装人员可以捕获到这些视频。
美国无人飞机任务中最多的一类由Creech基地的空军驾驶员执行。Creech基地是贫瘠的内华达沙漠边缘的一个小前哨，在州监狱以北20英里，与一个赌场临近。在一栋外部毫无特点的建筑里，穿过一个很长的过道，有一排房间，每间里都有一个服务器机柜以及一个“地面控制台（GCS）”。在这里，一个无人机驾驶员和一个传感操作员穿着他们的飞行服，面对一系列的屏幕。飞行员手握控制杆，指引无人飞机在阿富汗、伊拉克和其他战场飞行。
有的地面控制台的级别是机密，用于常规战场的侦查任务。还有的地面控制台则执行非常规任务，级别是绝密。所有的远程驾驶舱都不允许接入公共互联网。因此人们认为它们不会受病毒和其他网络安全威胁的影响。
但一次又一次，在涉密网络和公共网络之间的这个“空气间隙”被桥接上，其中很大一部分是通过使用光盘和可移动存储设备。比如，在2008年下半年，可移动设备将agent.btz蠕虫传入国防部数十万台计算机中。三年后，五角大楼仍在清理这些机器。
当前，在军事设施中已经严格限制使用移动磁盘。但是位于Creech的基地是一个例外，直至该病毒攻击。捕食者型和收割者型无人飞机使用移动硬盘在计算机之间更新地图和传输任务视频。病毒就是通过这些移动硬盘传播的。目前全球其他空军基地的无人飞机部队已经禁止使用这些设备。
与此同时，Creech基地的技术人员正在尝试从地面控制台机器中清除病毒。这并不容易。首先，它们参考了卡巴斯基安全公司网站上发布的清除指南，“但是病毒又回来了”，一个对感染技术很熟悉的知情人称。最后，技术人员不得不使用一个叫做BCWipe的软件工具来彻底擦除地面控制台的内置硬盘。“这意味着得从头开始再次构建它们”，即浪费大量的时间。
空军拒绝就该病毒做出评论。“我们一般不讨论任何具体的漏洞、威胁，或对我们计算机网络的响应，因为这些信息有可能向试图攻击我们系统的人提供帮助，”空军作战指挥部的一个发言人Tadd Sholtis中校说。该指挥部负责监管无人飞机和其他所有空军军用飞机。他还说：“我们在保护和监控我们的系统方面进行了大量的投入，用来对抗威胁和确保其安全，包括对病毒、蠕虫和其他发现的恶意代码的综合响应。”
然而，内部人员称Creech基地的高级官员现在每天都要做关于该病毒的摘要报告。
“它被大量关注，”透露者称，“但目前还没有人恐慌。”

分享

分享

公司上市了，我们的生活还是没有什么变化。因为有6个月的禁售期，我们的股票都没有套现，大家还是老老实实地工作。只有Ting耐不住气，跑到宝马dealer那里买了辆M5，因为心急，现车只有一辆死红死红的猪肝色，也给买回来了。

最初的NS-100已经支撑了四年，虽然其中历经了NS-100+, NS-100P等静悄悄的硬件升级，性能已经比当初提高了不少，不过只有三个百兆端口，已经不能满足市场的需求了。

在这个背景下，设计一款全新的产品，提高竞争力已经是当务之急。公司新来的产品经理，Lee Klarich，具体负责这个产品。Lee很瘦削，不苟言笑，经常和我们这帮工程师争吵，一付美国愤青的样子。

当时项目多，硬件工程师也排不过来，因此还是由我来负责硬件设计。经过NS-1000项目，我对硬件的理解和掌握提高了很多。之前Neptune芯片一直用双端口SRAM，RAM的另一边接到系统控制芯片(Marvell)的Local bus上，所有的包都用DMA引擎传输到这片SRAM上。但是原本系统控制器的Local bus是用来连接启动ROM等低速芯片的，CPU存取这片空间存在性能瓶颈。

我的第一个设想是用CPLD来模拟DRAM接口，这样SRAM就可以直接接到DRAM总线上，不仅总线带宽由32位加宽到64位，而且支持同步burst模式，数据包的存取性能一下子提高了八倍。

第二个想法是充分利用两条独立的PCI总线，把8个MAC设备分别挂到两条总线上去，这样PCI的传输速度又提高了一倍。

老毛是个电脑爱好者，对台湾产的主板能够超频交口称赞，一直鼓捣我也在硬件上加入这个功能。我被他的喋喋不休给弄烦了，这次就依他所愿，也加入软件超频的功能。

板子设计非常成功，第一个版本就全部验证通过，而且FCC/UL测试都没有问题，直接可以投产。这是Netscreen历史上绝无仅有的一次。而且性能测试超出所有人的预料，NS-200用一个低端350MHz MIPS CPU，把NS-500的配有L2缓存的高端系统给干掉了。

我和老毛开始玩超频，发现把PCI的时钟从33MHz超频到37.5MHz，小包性能一下子从60Mbps升到100Mbps的线速，哥俩都非常得意。正准备拿出去测试忽悠一下，让另一个产品经理Gregory知道了，在公司里面大声嚷嚷说我们俩作假，只有Yuming的代码才能跑那么快。Gregory也是元老级员工，让他这么大嘴嚷嚷，结果这一“伟大”的功能无疾而终。

NS-200顺利投产，Lee根据两种不同的配置，分别命名为NS-204和NS-208。因为性价比较高，客户很快接受了这款产品，公司开始大量出货。

3个月后，不少客户发现在流量大的时候会突然出现不断的系统重启，可是测试部根本无法复现。情况开始变得比较紧急，Ting怀疑是硬件问题，邓锋决定派我去客户现场处理。

时间紧迫，客户是位于华盛顿特区的Verisign公司，我出发时已经是下午6点，转了一次机，等飞到Dulles机场，正好是当地时间早上7点。一分钟不能耽搁，销售过来接我到Verisign，他们刚刚上班。客户见到我很高兴，说终于等来了带示波器的家伙。在客户现场确实可以看到系统重启的过程，不过我还是一筹莫展。下午，Ting打来电话，说已经可以复现了。原来之前一直是用Smartbit灌流量，后来才想到用一个实际网络模拟软件Chariot很快就能复现。

我又急忙赶回去。已经两天一夜没合眼，困得要命，还好买到了直达航班的票，而且由于时差的缘故，下午6点的航班到旧金山是晚上8点。到了机场，没有回公司的车，打了个的，结果刚出机场计价器就跳个不停，到了San Mateo,  我心里实在承受不住了，要求司机找个路口下车。然后打电话让老葛过来接。夜里9点多了，老葛还没下班。他负责平台软件，因此和我是一条绳上的蚂蚱。到了公司，才知道之前不能复现还有一个原因，测试组用的是第一批生产的平台，而只有最近出厂的产品才有问题。

我把注意力都集中在两者的差别。最后还是我们的元器件工程师Alex，一个和蔼可亲的俄国佬，发现新批次的Marvell芯片是B3版本的，而最初的产品用的是B0版本的。

这就好办了，老葛把寄存器全部dump出来，我们一个个地对比。终于发现DRAM控制器的一个比特位有变化。原来这个寄存器大家都没动过，用的是原厂的初始值。没想到芯片版本更换之后，可恶的Marvell把那个宝贵的初始值改了，害死了我们。

找到问题，解决变得轻而易举。软件立即着手编译版本，一直忙到第二天凌晨。新的软件一发布，这个重大问题立马解决，总算有了个圆满的结局。

—————————- 版权所有 Hillstone 老童 欢迎转载 —————————-

分享

分享

Cupertino是位于美国硅谷的一座小城，人口约五万有余。因为学区比较好，所以吸引了很多亚洲人在此居住，其中以中国和印度人居多。她并没有太多的值得夸耀之处，最值得一提的应该是，苹果公司的总部位于此城，几十座苹果的办公楼遍布在各个街道。今天，2011年10月5日，这个一向平静的加州小城，却度过了很不平静的一天。

早上起来，我在吃早饭，女儿在旁边看她的Facebook网页。突然她说，我同学说附近有人开枪打死两个人，她不去上学了。这种事一般不会在Cupertino发生，并且小孩子的话不能都信，我也就没在意。一会儿她又说，另一个同学也知道开枪的事儿，也说不去上学了。既然这样，我就上网查了一下Google News。果不其然，确有一位老哥在附近的一个采石场开枪打死两个人（后来证实是三个），还打伤几个，目前在逃。我连忙打开电视，Fox news正在直播，该同志又在大华附近的HP停车场抢车未遂，打伤一位女士后逃入居民区，大批警察封锁了该地区，正在挨家挨户的搜索。

事已至此，那就都在家呆着吧，孩子也就不去上学了。一会电话又响起，是警察局打来的录音电话，说一持枪杀人犯可能在您家附近活动，如有发现，请不要靠近，马上打911。电视上新闻不断重播，警察还在搜索，但还没找到人。

过了一阵，我们决定太太在家看孩子，我就去上班了。路上没看到什么异常，公司里人们也在议论这件事。中午也没人出去吃饭了，结果公司餐厅人满为患，我们几个竟然找不到座位。好在室外一个人也没有，我们就到外面去吃了。为什么外面没人呢，原因很简单，因为那时外面正是大雨滂沱。我们的桌子上倒是有一大伞，一遮阳伞。就这样，我们享用了一份很有湿意的午餐。直到下午，警察还在搜捕，还是没有结果。就这一件事就够热闹了，不料更惊人的消息还在后头。苹果公司董事会下午忽然宣布，Steven Jobs今天去世。

Jobs是当今少有的天才，对于他的离世，很多报道都用了“一个时代的终结”的说法。这种说法现在已经泛滥了，不过用在Steve身上非常恰当，他应该是在世界范围内，对人们生活有着巨大影响的极少数的几个人之一。一个伟大的产品就足以造就一个伟大的公司，例如微软的Windows，谷歌的Searching Engine，但要想做出两个伟大的产品是非常困难的，而象苹果公司那样，iPod，iPhone，iPad，革命性的产品接二连三推出，可以说是就此一家，绝无仅有。这其中最重要的因素应该就是Steve的天才、敏感、和对完美境界的狂热追求。硅谷的许多公司在诱惑别人加盟时，总喜欢说，“Come join us, and change the world”。但在美国西岸这一片干旱、狭窄的山谷地带，没有哪个人对世界的影响能够比肩瘦弱的Steve Jobs，not even close。

说实话，我不是苹果产品的粉丝。我一向反感其高价政策，注重形式过于内容，经常为了美观而牺牲产品性能。iPhone出来我没买，我买了一个Android的手机，至今很满意。iPad出来我也不买，准备等Android的产品赶上来了再买Android。不料一年过后，Android的tablet们不但性能没赶上，而且价格都没法和iPad竞争，市场份额就更甭提了。这种情况令我很吃惊，所以年初我就买了一个iPad2。

买了iPad2后，不料它竟成了我刚一岁多儿子最喜爱的玩具。他玩起iPad就停不下来，每回都必须硬抢，然后他就会嚎啕大哭。还不会说话的他专门为要iPad发明了一个手势，整天就看他在家把手晃来晃去，四处找iPad。后来他开始说话，最初学会说的几个词中，除了爸爸，妈妈以外，赫然就有一个‘iPa’（d的音他发不出来）。

每次看到儿子熟练的玩着iPad，或者满屋乱窜，象犯了大烟瘾一样，嘴里大叫着iPa iPa，我都感到震惊和对苹果公司和Steve Jobs由衷的敬佩。能够让一个一岁的小孩轻松使用且如此痴迷，连我也不得不承认iPad是一个革命性的产品。

Steve Jobs是Cupertino土生土长的孩子，中学就在Cupertino Middle School和Homestead High School上的。没有了Steve, Cupertino少了至关重要的一分子，没有了Steve，苹果公司的奇迹是否还能再延续下去？

夜幕降临，警察还在搜索，杀人嫌犯依然在逃。儿子洗完澡后，又在满屋大叫iPa，iPa，浑不知iPad的缔造者，伟大的Steve Jobs，却已随风而去了……

May you rest in peace.
Inventor, Visionary, Icon,
Steven Paul Jobs (1955-2011)

杰夫
10月5日晚于Cupertino

分享